Cloudflare y la conformidad con la Ley de Privacidad

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluida una oficina en Australia, y ofrece una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que funciona por medio de más de 200 servidores perimetrales en todo el mundo, como se describe aquí, es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare se quedan en sus servidores perimetrales, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en Estados Unidos y Europa.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes cifrar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad que supera los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II y PCI DSS nivel 1. Más información sobre nuestras certificaciones e informes aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de los datos personales, incluidos los datos personales transferidos desde Australia a los Estados Unidos, consulta el anexo 2 de nuestro DPA estándar.

Según la Ley de Privacidad, las organizaciones que deseen revelar información personal a un destinatario ubicado fuera de Australia deben asegurarse de que este cumple los Principios de Privacidad de Australia (APP). La Oficina del Comisario de Información de Australia ("OAIC") considera el Anexo de procesamiento de datos (DPA) de Cloudflare, que incluye nuestras obligaciones para el procesamiento de datos personales en nombre de nuestros clientes y que incorporamos por referencia en nuestro Acuerdo de servicios Enterprise y en nuestro Acuerdo de suscripción de autoservicio, un paso razonable para legitimar las transferencias transfronterizas de acuerdo con los 13 APP.

De acuerdo con las directrices publicadas por la OAIC, nuestro DPA respeta los APP y describe:

• Las categorías de los datos transferidos

• Los mecanismos de gestión de quejas

• El plan de respuesta a la fuga de datos

• Las salvaguardas técnicas y operativas adecuadas

Cloudflare publicó el primer informe sobre transparencia en 2014 para los procedimientos judiciales recibidos en 2013, y nos comprometimos a exigir un procedimiento judicial antes de facilitar información sobre nuestros clientes a cualquier entidad gubernamental, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado a ningún gobierno fuentes de contenido que transiten por nuestra red o implementado equipamiento de control policial en nuestra red. También nos comprometimos a que si se nos pedía que hiciéramos alguna de esas acciones, "agotaríamos todos los recursos legales para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales". Desde nuestros inicios, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el Gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico "Políticas de privacidad y gestión de los requerimientos gubernamentales de información"). En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede solicitar a los tribunales estadounidenses que anulen los requerimientos de datos personales por parte de las autoridades, de acuerdo con ese conflicto de legislaciones.

Hemos actualizado nuestro Anexo de procesamiento de datos ("DPA") estándar para nuestros clientes, que ahora incluye las medidas y salvaguardas suplementarias descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.

Nuestra solución Data Localization Suite permite a las empresas beneficiarse del rendimiento y la seguridad de la red global de Cloudflare, a la vez que facilita la creación de reglas y controles en el perímetro sobre dónde se almacenan y protegen los datos.

Además, combina algunas ofertas existentes con algunas funciones nuevas:

• Regional Services. Cloudflare cuenta con centros de datos en más de 270 ciudades y 100 países. Regional Services, junto con nuestra solución Geo Key Manager, permite que los clientes elijan las ubicaciones de los centros de datos donde se almacenan las claves TLS y donde se produce la terminación de TLS. El tráfico se recibe a nivel global, para lo que se aplican mitigaciones de DDoS de capas 3 y 4, mientras que las funciones de seguridad, rendimiento y fiabilidad (como WAF, CDN, mitigación de DDoS, etc.) se sirven únicamente en centros de datos de Cloudflare específicos.

• SSL sin clave. Permite a un cliente almacenar y administrar sus propias claves privadas SSL para su uso con Cloudflare. Los clientes pueden utilizar una variedad de sistemas para su depósito de claves, incluidos módulos de seguridad de hardware ("HSM"), servidores virtuales y hardware compatible con Unix/Linux y Windows y que esté alojado en entornos controlados por los clientes.

• Geo Key Manager. Cloudflare tiene una base de clientes verdaderamente internacional y hemos aprendido que los clientes de todo el mundo tienen diferentes requisitos normativos y legales, además de diferentes perfiles de riesgo, con respecto a la colocación de sus claves privadas. Con esa filosofía en mente, nos propusimos diseñar un sistema muy flexible para decidir dónde se pueden guardar las claves. Geo Key Manager permite que los clientes limiten la exposición de sus claves privadas a ciertos lugares. Es similar a SSL sin clave, pero en lugar de tener que ejecutar un servidor de claves dentro de tu infraestructura, Cloudflare aloja servidores de claves en las ubicaciones de tu elección.